×
ข้ามไปยังเนื้อหาหลัก

SOAR บน Athena XDR (Playbooks, Configuration, Apps)

ปรับปรุงเมื่อ

ภาพรวมของ SOAR บน Athena XDR

Sangfor Athena XDR มีฟีเจอร์ SOAR (Security Orchestration, Automation and Response) ที่ช่วยให้ทีม Security สามารถสร้างและจัดการ Workflow อัตโนมัติสำหรับการตอบสนองต่อ Incident ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ โดย SOAR จะช่วยลดภาระงานที่ต้องทำด้วยมือ (Manual) และทำให้ Security Incident ได้รับการจัดการแบบ Closed-Loop อย่างครบวงจร ทีมงานสามารถใช้ SOAR เพื่อจัดการ Incidents, Alerts, Weaknesses และ Vulnerabilities ผ่าน Workflow-based Management ร่วมกับ Third-Party Applications ที่เชื่อมต่อไว้

SOAR ทำงานผ่าน Architecture หลายชั้น ได้แก่ Web API (Gunicorn), Playbook Management, Application Management, Incident Management, Kafka Message Queue, Workflow Engine, Task Execution Engine และ MongoDB โดยเชื่อมต่อกับ Connected Devices/Services ผ่าน HTTP/SSH เช่น Firewall, Endpoint Secure, STA เป็นต้น

เมื่อเกิด Security Incident ระบบจะทำงานตามลำดับดังนี้:

  1. User ติดตั้ง Application ที่จำเป็นผ่าน Application Management Module จากนั้นตั้งค่าและ Publish Playbook
  2. เมื่อ Host ของ User สร้าง Incident หรือ Alert ใหม่ ข้อมูลจะถูกส่งไปยัง SOAR ผ่าน API จากนั้น SOAR จะอ่านข้อมูลและค้นหา Playbook ที่ตรงกัน
  3. Playbook และข้อมูล Incident ถูกส่งไปยัง Workflow Engine ผ่าน Kafka เพื่ออ่าน Configuration และส่ง Node Information ไปยัง Task Execution Engine
  4. Task Execution Engine รับข้อมูลและตัดสินใจขั้นตอนถัดไปตามประเภทของ Node โดยหากเป็น Built-in Node (เช่น Approval/Decision Maker) จะเรียก Module ที่เกี่ยวข้อง หากเป็น Action Node จะเรียก Application Script สื่อสารกับ External Device ผ่าน SSH หรือ HTTP
  5. หลังจาก Node Tasks ถูก Execute ผลลัพธ์จะถูกเก็บใน SOAR Database และส่งกลับไปยัง Workflow Engine ผ่าน Kafka
  6. Workflow Engine ตรวจสอบผลลัพธ์ หากยังมี Node ที่ยังไม่ถูก Execute จะทำซ้ำ หากทั้งหมดเสร็จสิ้นหรือ Fail จะส่ง Termination Information ไปยัง WebSocket Module

Playbooks - ระบบ Playbook สำหรับ Automated Response

SOAR มี Playbook หลากหลายรูปแบบสำหรับสถานการณ์ต่าง ๆ สามารถเลือกใช้ Playbook ที่ต้องการเพื่อเปิดใช้งาน Workflow Automation ได้ในไม่กี่คลิก โดยเข้าถึงได้ที่ App Center > SOAR > Playbooks

Predefined Playbooks overview showing all 24 available playbooks

ประเภทของ Predefined Playbooks

Predefined Playbooks แบ่งออกเป็น 3 ประเภท:

  • Alert Playbooks - Trigger โดย Security Alert เช่น Block PCs Infected with Botnet, Block High-Risk Internet Attack, Auto Noise Reduction for Low-Value Alerts, Auto Block Internet IP Address
  • Incident Playbooks - Trigger โดย Security Incident เช่น Troubleshoot Inbound Attack, Troubleshoot Lateral Attack, Troubleshoot Phishing Attack, High-Risk Command Executed, Troubleshoot Ransomware Attack, Fix External Endpoints Infected, Troubleshoot WebShell Attack, Monitor Weak Password
  • Basic Playbooks - Playbook พื้นฐานใช้ได้ทั่วไป เช่น General Playbook - Unblock IP Address, IM Software, Cancel Endpoint Isolation, Block IP Add, Endpoint Scan, Optimize Alert, Complete Assignment
Basic Playbooks showing 10 general action playbooks

วิธีใช้งาน Predefined Playbook

ตัวอย่างการใช้ Alert Playbook Auto Block Internet IP Address From Which Inbound Attack Failed (Blocked Permanently):

  1. Step 1: ตั้งค่า Playbook Name, Description, Groups และ Threat Type
  2. Step 2: ตั้งค่า Execution Method และ Firewall Model (รองรับ 10+ รุ่น เช่น Hillstone, Palo Alto, FortiGate, Huawei, Sophos, WatchGuard) กด Save
  3. Step 3: กด View Playbook List เพื่อจัดการใน My Playbooks Tab

My Playbooks - การจัดการ Playbook

หลัง Enable Predefined Playbook ระบบ Clone มาไว้ใน My Playbooks Tab พร้อมฟีเจอร์:

  • Search Box - ค้นหาด้วย Keyword, Status, Matched Incident, Tag
  • Playbook Groups Panel - ดู/สร้าง/แก้ไข/ลบ Group
  • Playbook Display Area - แสดง Playbook ทั้งหมดพร้อมสถานะ
  • Fuzzy Search - ค้นหาด้วย Playbook Name, Device Name, Device IP
  • Filter - กรองด้วย Threat Type, Application, Execution Method, Status

การสร้าง Playbook ใหม่

ขั้นตอนการสร้าง:

  1. กด Add ที่ My Playbooks Tab
  2. ตั้งค่า Playbook Settings: Playbook Name, Description, Group, Execution Method (Execute Automatically/Manually), Conditions for Execution
  3. กด OK เพื่อสร้าง Playbook

Node Types ใน Playbook Editor

Nodes Panel ประกอบด้วย 7 ประเภท:

1. Action Node - เรียกใช้ Feature จาก Application เช่น Adjust Severity Level, ส่ง SMS ตั้งค่า Node Name, Action, Device, Delayed Execution, Execute after Approval, Terminate upon Error

2. Playbook Node - นำ Playbook ที่มีอยู่มาใช้ซ้ำ ตั้งค่า Select Playbook, Delayed Execution, Execute after Approval

3. Filter Node - กรอง Incident ด้วย AND/OR/NOT รองรับหลาย Branch ตั้งค่า Node Name, Branch Name, Filter Rule, Add Loop

4. Decision Node - กำหนดทิศทางด้วย IF/ELSE รองรับ Branch เดียว เพิ่ม Else If, Else, Loopback Configuration ได้

5. Review Node - Manual Review/Approval ตั้งค่า Approver, Response Time, Approval Content, Attachment, Reply Requirement

6. Record Node - บันทึกข้อมูลด้วยมือ ตั้งค่า Recorded By, Response Time, Notification Text, Recorded Item (Text/Option/Dynamic Parameter List), Required

7. End Node - สิ้นสุด Workflow

Configuration Example

ตัวอย่างสร้าง SOAR Playbook จัดการ Host Scan Incident อัตโนมัติ:

  1. ตรวจพบ Security Incident
  2. ประเมิน Incident เบื้องต้น
  3. ดึง IP Address ของ Host ที่เกี่ยวข้อง
  4. สร้าง Notification Template และส่งแจ้งเตือน
  5. แจ้ง OA Personnel ผ่าน SMS
  6. ปรับ Incident Status เป็น Fixing
  7. วิเคราะห์ True Positive/False Positive
  8. False Positive: ปรับสถานะ สิ้นสุด Playbook
  9. True Positive: ตรวจสอบ IP เป็น Intranet/Internet
  10. Internet IP: Firewall บล็อก ปรับ Fixed สิ้นสุด
  11. Intranet IP: บันทึก Asset Owner แจ้ง Owner ตรวจสอบ
  12. แก้ไขแล้ว: ปรับ Fixed สิ้นสุด Playbook

Tasks - จัดการ Task ที่รอดำเนินการ

เข้าถึงที่ App Center > SOAR > Playbooks > Tasks ดูและจัดการ Playbook ที่ต้อง Manual Review/Handling กรองด้วย Time, Threat Type, Status

Execution History

เข้าถึงที่ App Center > SOAR > Playbooks > Execution History ดูประวัติ Execute ย้อนหลัง กรองด้วย Time, Playbook Group, Status กด Action เพื่อดูรายละเอียด

Configuration - การตั้งค่า SOAR

อยู่ที่ App Center > SOAR > Configuration ประกอบด้วย:

1. Notifications - จัดการ Notification Template: Template Name, Threat Type, Notification Method (Network Security App/Message App เช่น SaaS XDR Email, Lark Push), Device, Triggers (Successful/Failed Execution, Failed Action, Reminder, Timed Out)

2. Tags - จัดการ Tag สำหรับ Security Operations กด Add ตั้ง Name/Remarks เชื่อมโยงกับ App/Device

3. Constants - กำหนดค่าคงที่ เช่น Asset IP Range กด Add ตั้ง Name, Data Type (IP/Port/Time/Character String/Integer), Value (หนึ่งค่าต่อบรรทัด)

Apps - การจัดการ Application

อยู่ที่ App Center > SOAR > Apps

Import Applications - โดยทั่วไปไม่จำเป็น สามารถ Import Custom SOAR App ได้หากต้องการ

Connect to Applications - เชื่อมต่อ Third-Party App ใน 3 ขั้นตอน:

  1. เลือก Application ดู App Details Pane ที่มี Resources และ Actions
  2. กด Add ใต้ Resources ไปยัง Configuration > Device Connection > Third-Party Devices
  3. ตั้งค่า Resource Name, Device IP, Username, Password กด Test Connectivity แล้ว OK

Application ที่รองรับ: Sangfor Endpoint Secure, Network Secure, SaaS XDR, Optech Firewall, Hillstone, Palo Alto, FortiGate, Huawei, Sophos, WatchGuard, CheckPoint, CrowdStrike, DrayTek, Lark, PagerDuty, Microsoft 365 เป็นต้น

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น